President Biden ondertekent executive order over gegevensuitwisseling tussen de EU en VS
Op 7 oktober 2022 heeft president Biden de ‘Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities’ (hierna: ‘E.O.’) ondertekend. In de E.O. worden de stappen omschreven die de VS zal nemen om uitvoering te geven aan het Trans-Atlantic Data Privacy Framework (hierna: ‘TADPF’), hetgeen de overdracht van persoonsgegevens tussen de EU en VS weer mogelijk zou moeten maken.
In deze blog zullen enkele hoofdlijnen uit de E.O. nader worden toegelicht.
Inlichtingen- en veiligheidsdiensten
Het Hof van Justitie van de Europese Unie (hierna: ‘HvJEU’) heeft bepaald dat men niet zonder meer persoonsgegevens mag delen met de VS, aangezien de verstrekkende surveillance wet- en regelgeving geen adequaat beschermingsniveau voor de privacy van EU-burgers kan garanderen.[1]
Vandaar dat de E.O. aanvullende, bindende waarborgen in het leven roept voor Amerikaanse inlichtingen- en veiligheidsdiensten. Zo mogen opsporingsactiviteiten enkel worden verricht ter verwezenlijking van welbepaalde, nationale veiligheidsdoelstellingen. Daarnaast dient het verrichten van de desbetreffende opsporingshandeling proportioneel en noodzakelijk te zijn.
De E.O. stelt niet alleen eisen aan het verrichten van opsporingshandelingen, maar ook aan het verwerken van de persoonsgegevens die daarmee zijn verzameld. De verantwoordelijkheden en bevoegdheden van juridische toezichthouders en compliance officers worden bijvoorbeeld verder uitgebreid, zodat zij passende maatregelen kunnen treffen wanneer bepaalde privacy wet- en regelgeving niet wordt nageleefd.
Tot slot, worden inlichtingen- en veiligheidsdiensten verplicht om hun beleidsdocumenten en procedures aan te passen, zodat zij aan de voornoemde eisen en waarborgen kunnen voldoen.
Multi-layer mechanism
In de E.O. wordt eveneens bepaald dat er een tweeledige rechtsingang zal worden opgezet, waar EU-burgers terecht kunnen met hun klachten over de ongeoorloofde verzameling/verwerking van (persoons)gegevens door Amerikaanse autoriteiten. De volgende personen/instanties worden in de E.O. genoemd:
I. The Civil Liberties Protection Officer (CLPO)
De CLPO kan een verkennend onderzoek instellen naar in aanmerking komende klachten. De CLPO zal in dergelijke gevallen toetsen of de waarborgen uit de E.O. of andere toepasselijke Amerikaanse (privacy)wet- en regelgeving zijn geschonden. Mocht uit het onderzoek blijken dat dit het geval is, dan kan de CLPO eveneens sancties opleggen. De besluiten van de CLPO zijn bindend voor Amerikaanse inlichtingen- en veiligheidsdiensten. Zij kunnen het besluit echter wel ter toetsing voorleggen aan de hiernavolgende instantie.
II. The Data Protection Review Court (DPRC)
De DPRC kan op verzoek van een betrokkene of inlichtingen-/veiligheidsdienst een besluit van de CLPO toetsen. Het oordeel van de DPRC is bindend.
Onafhankelijkheid van de DRPC wordt op verschillende manieren gewaarborgd. Zo worden er enkel rechters benoemd die niet werkzaam zijn voor de Amerikaanse overheid. Daarnaast genieten deze rechters bescherming tegen schorsing en ontslag.
Wat zijn de volgende stappen?
Deze waarborgen bieden een basis voor de Europese Commissie (EC) om een adequaatheidsbesluit te nemen met betrekking tot de VS. Een dergelijk voorstel moet echter eerst een goedkeuringsprocedure doorlopen, waarbij eveneens het advies van het Europees Comité voor Gegevensbescherming (European Data Protection Board – EDPB) wordt ingewonnen. Indien alle stakeholders groen licht hebben gegeven, kan het besluit definitief worden genomen. Het uitwisselen van persoonsgegevens tussen de EU en VS zou dan – onder bepaalde voorwaarden – weer mogelijk kunnen zijn.
Wij zullen u op de hoogte van de meest recente ontwikkelingen. Mocht u in de tussentijd vragen hebben over het delen van persoonsgegevens met landen buiten de Europese Economische Ruimte (EER), neem dan contact op.
[1] HvJEU 16 juli 2020, ECLI:EU:C:2020:559 (Schrems II)